Чи є DoS злочином? Адвокат пояснює про Японське 'закон про перешкоджання діяльності шляхом знищення електронних обчислювальних машин та інше'.

Злочин перешкоджання роботі через знищення електронного обчислювального обладнання був вперше введений у 1987 році (62 рік ери Шоу). У той час, через високий рівень економічного зростання та розвитку технологій, комп’ютери стали широко використовуватися в офісах.

Робота, яка раніше виконувалася людьми, тепер виконується комп’ютерами, а обсяги бізнесу розширюються. Тому стали очікувати перешкоджання роботі, спрямовані на комп’ютери, і для боротьби з цим було введено новий закон.

Однак на момент прийняття закону, комп’ютери були лише на стадії розвитку, а Інтернет ще не був поширеним, тому було важко передбачити конкретні кіберзлочини. Більше того, цей закон не використовує термінологію комп’ютерної науки або інформаційної науки, а використовує терміни, характерні для кримінального кодексу, тому його тлумачення може бути різним, і він може бути важким для зрозуміння для звичайних громадян.

Також вважається, що цей злочин відповідає типу злочинів, які називаються комп’ютерними злочинами серед кіберзлочинів.

У цій статті ми детально та зрозуміло пояснимо про злочин перешкоджання роботі через знищення електронного обчислювального обладнання.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Що таке DoS-атака

DoS-атака (Denial of Service attack) – це вид кібератаки, яка полягає в надсиланні великої кількості даних або неправильних даних на веб-сайт або сервер цілі, що призводить до перевантаження системи і змушує її працювати неправильно. Це не є атакою, яка використовує незаконний доступ або віруси для контролю над системою, але вона заважає нормальному користувачу використовувати свої права доступу. Цей метод кібератаки існує вже давно, але він також використовується в DDoS-атаках (Distributed Denial of Service attack), і він все ще приносить багато шкоди.

Типи DoS-атак

DoS-атаки поділяються на два типи: “Flood” і “Vulnerability”.

“Flood” походить від англійського слова ‘Flood’ (=повінь), і це атака, яка надсилає велику кількість даних, використовуючи протокол, щоб змусити цільову систему перевантажитися.

З іншого боку, “Vulnerability” використовує вразливості сервера або додатка, щоб виконати неправильні операції і зупинити його роботу. Це може бути незрозуміло, але, наприклад, типова “Vulnerability” DoS-атака, відома як LAND-атака, відправляє пакети, у яких IP-адреса та номер порту відправника та отримувача співпадають. Щоб пояснити це простіше, атакуючий A відправляє пакет до сервера B з повідомленням “Я B, і я хочу відповідь”, тоді B відправляє “відповідь” до себе, отримує цю “відповідь” і знову відправляє “відповідь” до себе, створюючи безкінечний цикл. Це використовує “вразливість” у тому сенсі, що він відповідає на пакети, в яких він сам є відправником, але оскільки він не обходить парольну аутентифікацію, він вважається не “незаконним доступом”, а “Vulnerability” DoS-атакою.

Також існує DDoS-атака, яка є розподіленою методом, що використовує тисячі комп’ютерів, інфікованих бот-вірусом, для віддаленого управління і проведення “Flood” DoS-атаки з кожного з них.

Механізм DoS-атаки

Механізм DoS-атаки полягає в тому, що вона часто повторює дії, які допускаються в межах TCP/IP. Наприклад, коли ви намагаєтеся купити квитки на концерт популярного ідола через загальний продаж, ви можете зіткнутися з тим, що сайт стає повільним або впадає через велику кількість людей, які одночасно намагаються отримати доступ. DoS-атака – це атака, яка навмисно створює таку ситуацію, зловживаючи законними правами.

Чи є атаки DoS злочином, що підпадає під статтю про завдання шкоди електронним обчислювальним машинам та перешкоджання діяльності?

Отже, чи є атаки DoS злочином? Розглянемо, чи вони підпадають під статтю про завдання шкоди електронним обчислювальним машинам та перешкоджання діяльності.

Особа, яка завдає шкоди електронному обчислювальному пристрою або магнітному запису, що використовується в діяльності людини, або подає неправдиву інформацію або неправомірну команду до електронного обчислювального пристрою, що використовується в діяльності людини, або іншим способом заважає нормальній роботі електронного обчислювального пристрою, перешкоджаючи діяльності людини, підлягає покаранню у вигляді позбавлення волі на термін до п’яти років або штрафу до одного мільйона єн.

Стаття 234-2 пункт 1 Кримінального кодексу Японії (Завдання шкоди електронним обчислювальним машинам та перешкоджання діяльності)

Таким чином, для того, щоб було вчинено злочин за статтею про завдання шкоди електронним обчислювальним машинам та перешкоджання діяльності, необхідно виконання таких об’єктивних вимог:

1. Напад на електронний обчислювальний пристрій
2. Перешкоджання роботі електронного обчислювального пристрою
3. Перешкоджання діяльності

Також для вчинення злочину необхідно, щоб ці дії були вчинені навмисно.

Виконання об’єктивних вимог

Розглянемо кожну з них окремо.

Напад на електронний обчислювальний пристрій

Дія, що вчиняється (вчинення), повинна відповідати одному з наступних пунктів:

• “Завдання шкоди електронному обчислювальному пристрою або магнітному запису, що використовується для його роботи”
• “Подання неправдивої інформації або неправомірної команди до електронного обчислювального пристрою”
• “Або інший спосіб”

Щодо “електронного обчислювального пристрою”, судова практика (рішення Вищого суду Фукуоки від 21 вересня 2000 року (2000)) визначає його як електронний пристрій, що автоматично виконує обчислення та обробку даних. Немає суперечок щодо того, що офісні комп’ютери, персональні комп’ютери, контрольні комп’ютери тощо є типовими прикладами. Щодо магнітного запису, його визначення наведено в статті 7-2 Кримінального кодексу. Сервер, який є ціллю атаки DoS, безумовно, відповідає цим визначенням.

“Завдання шкоди” означає не тільки фізичне знищення, але й видалення даних та інші дії, що завдають шкоди корисності речі. “Неправдива інформація” означає, що вміст суперечить істині. “Неправомірна команда” означає подання команди, яка може бути оброблена відповідним комп’ютером, без належних повноважень. Наприклад, якщо ви проводите атаку DoS типу “флуд” великими масштабами та концентровано, сервер, який є ціллю атаки, перевантажується, і обробка не може бути виконана належним чином. Така атака, навіть якщо вона не призводить до “завдання шкоди”, такої як видалення даних, є доступом, що суперечить волі власника сервера, і можна сказати, що вона подає “неправомірну команду” без належних повноважень.

Перешкоджання роботі електронного обчислювального пристрою

Питання полягає в тому, чи відповідає дія “перешкоджанню нормальній роботі” або “змушуванню виконувати дії, що суперечать меті використання”. Є суперечки щодо того, чия мета використання повинна бути взята за основу, але враховуючи, що метою цієї статті є забезпечення безпечного та ефективного виконання діяльності, слід вважати, що метою є мета встановлювача. Коли проводиться атака DoS і сервер перевантажується, послуги можуть стати недоступними, і може статися, що не виконується належна обробка, яку планував встановлювач сервера. У такому випадку можна сказати, що “не виконується дія, що відповідає меті використання”, і це відповідає перешкоджанню роботі.

Перешкоджання діяльності

Стаття про завдання шкоди електронним обчислювальним машинам та перешкоджання діяльності є посиленою версією статті про перешкоджання діяльності (статті 233, 234 Кримінального кодексу Японії), тому щодо цього перешкоджання діяльності слід думати так само, як і про звичайне перешкоджання діяльності. Тобто, “діяльність” означає виконання справ на основі соціального статусу на постійній основі, і для того, щоб було “перешкоджання”, не потрібно, щоб діяльність була реально пошкоджена.
Коли проводиться атака DoS, “діяльність” надання послуг в Інтернеті за допомогою використання сервера встановлювачем може бути перешкоджена, що відповідає перешкоджанню діяльності.

Виконання суб’єктивних вимог (навмисність)

Після виконання цих вимог необхідно визнати наявність навмисності (пункт 1 статті 38 Кримінального кодексу Японії). Навмисність означає визнання і прийняття фактів, що відповідають пунктам ①-③ (вимоги до структури). Для цього не потрібно мати злі наміри або наміри завдати шкоди, навіть якщо ви не мали такого наміру. Навіть якщо ви маєте уявлення, що “можливо, сервер впаде, і послуги стануть недоступними”, можна визнати наявність навмисності.

Випадок з масовим доступом до веб-сайту Центральної бібліотеки міста Окадзакі

Представляємо вам випадок з масовим доступом до веб-сайту Центральної бібліотеки міста Окадзакі (так званий випадок Librahack).

Чоловік (39 років) з префектури Аїті був арештований за те, що він зібрав інформацію про нові книги з веб-сайту бібліотеки за допомогою власної програми, що спричинило кібератаку. Однак, за результатами аналізу експертів, на який посилається газета Asahi, виявилося, що програмне забезпечення бібліотеки мало дефект, який спричинив збій через масовий доступ. Виявилося, що подібні проблеми виникли в шести бібліотеках по всій країні, які використовують те ж програмне забезпечення. Компанія-розробник почала оновлення програмного забезпечення в приблизно 30 бібліотеках по всій країні.
Ця проблема виникла в міській бібліотеці Окадзакі. У програмному забезпеченні був дефект, який призводив до того, що кожен раз, коли викликалися дані про книги, обробка даних продовжувалася, створюючи стан, подібний до того, коли телефонна розмова продовжується навіть після того, як трубку поклали. Через певний час з’єднання автоматично розривалося, але в бібліотеці, якщо кількість доступів перевищувала приблизно 1000 за 10 хвилин, доступ до веб-сайту ставав неможливим, і це виглядало як масова атака.
Чоловік був інженером-програмістом і брав приблизно 100 книг на рік з бібліотеки міста Окадзакі. Веб-сайт бібліотеки був не зручний у використанні, тому він створив програму для збору інформації про нові книги щодня і почав використовувати її з березня.
З березня бібліотека отримувала скарги від громадян, які не могли отримати доступ до веб-сайту. Поліція префектури Аїті, яка отримала консультацію, вирішила, що чоловік навмисно надсилав запити, що перевищували оброблювану потужність, і арештувала його за підозрою в перешкоджанні роботі. Прокуратура міста Нагоя, відділення Окадзакі, у червні вирішила не висувати обвинувачення, оскільки “не було сильного наміру завадити роботі”.

Asahi Shimbun Nagoya Morning Edition (21 серпня 2010 року)

Чоловік, який був арештований у цьому випадку, був користувачем Центральної бібліотеки міста Окадзакі, і він робив це з метою збору інформації про нові книги на веб-сайті бібліотеки, не маючи наміру заважати роботі бібліотеки. Частота доступу була низькою, близько 1 разу в секунду, що зазвичай не вважається атакою DoS, але через дефект на сервері бібліотеки виникла системна помилка.

Навіть якщо немає злого наміру, можна визнати, що він завадив роботі сервера бібліотеки, виконуючи дії, які можуть бути вважені атакою DoS, тому ми розглянемо об’єктивні вимоги. Щодо наміру, як я вже зазначав, навіть якщо немає злого наміру, можна визнати наявність наміру. Поліція вирішила, що цей чоловік, який добре розуміє комп’ютери, навмисно надсилав велику кількість запитів, незважаючи на те, що він міг усвідомити можливість впливу на сервер бібліотеки, тому він мав намір, і злочин міг бути вчинений.

Проблеми та критика випадку

Метод, який використовував цей чоловік для механічного отримання даних з публічного веб-сайту, широко використовується в загальному порядку, і саме програмування не є незаконним. Цей чоловік пояснив обставини та наміри випадку на своєму веб-сайті, але з його змісту не видно жодних пунктів, які заслуговували б на моральне засудження як “злочин”, що шокувало багатьох інженерів, які використовують цю технологію, і викликало багато критики та обговорень.

Наприклад, в першу чергу, якщо веб-сайт публічної бібліотеки, яким користуються безліч людей, має дефект, який призводить до збою при 1 доступі в секунду, це занадто слабке та крихке, і якщо був би сервер з достатньою міцністю, який слід мати зазвичай, цей чоловік не був би арештований.
Також є проблеми з законодавством, які полягають в тому, що незважаючи на відсутність очевидних злочинних елементів, таких як “месть” або “докучливість” у цього чоловіка, або відправлення великої кількості даних, які відрізняються від звичайного способу використання, він може бути визнаний злочинцем за такими положеннями.
Інша проблема полягає в розриві між застосуванням закону та реальним використанням Інтернету. Наприклад, враження від 10 000 доступів може відрізнятися в залежності від того, чи є людина досвідченим користувачем Інтернету та технологій обробки інформації, чи ні, включаючи поліцію та прокуратуру. Є проблема, якщо цей розрив у сприйнятті не виправляється. Крім того, є стурбованість та незадоволення, що вільне використання та розвиток Інтернету, а також промисловість можуть занепадати, якщо будь-хто, як цей чоловік, може бути арештований.

Чоловік був звільнений від обвинувачень, оскільки “не було сильного наміру завадити роботі”, але він був затриманий на допит протягом 20 днів. Крім того, його ім’я було опубліковано під час арешту. Крім того, відмова від обвинувачень означає, що “злочин був вчинений, але він не був серйозним, або він глибоко розкаявся, тому цього разу ми відмовилися від обвинувачень”, тобто він був визнаний винним у вчиненні злочину. Навіть якщо він не був обвинувачений, це проблема, оскільки він зазнав сильних соціальних збитків.

Підсумки

Таким чином, DoS-атаки можуть призвести до встановлення відповідальності за злочини, пов’язані з пошкодженням електронних обчислювальних машин та перешкоджанням діяльності. Однак, застосування цього законодавства має декілька проблем, і, як показано в ряді описаних випадків, злочин може бути встановлений навіть у випадках, які важко назвати зловмисними. Від часу його введення, багато людей стали володіями інтернет-пристроїв, таких як смартфони та комп’ютери, а інтернет-суспільство швидко розвивається. Щоб подолати ці проблеми та захистити свободу в Інтернеті, можна сказати, що необхідно переглянути застосування закону та розглянути нові законодавчі заходи.

Якщо сервер компанії постраждає від кібератак, таких як DoS-атаки, вам доведеться заохотити поліцію до розслідування. Однак, багато випадків стають технічно дуже складними, і, як у випадку з бібліотечною подією, яку ми описали вище, може бути важко знайти відповідний відгук без знань та навичок у галузі ІТ та права.

Щодо цивільних рішень, якщо ви можете визначити винуватця, ви можете подати позов про відшкодування збитків від цієї особи. Тому, одним з варіантів може бути звернення до адвоката, який спеціалізується на інтернеті та бізнесі.